Upload
alexey-lukatsky
View
7.877
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Почему в России нельзя обеспечить безопасность облачных вычислений
Лукацкий Алексей, консультант по безопасности
У меня нет задачи остановить переход к облачным облакам – мы сами их используем повсеместно
2
Число CSP (400+) Sales
Finance
Manfacturing
C&C Platform
CDO
Consumer IT
Customer Service
HR
Acquisitions
Cisco является одним из крупнейших в мире пользователей облачных услуг
ЧТО ТАКОЕ ОБЛАКА?
Три основных типа облака
Публичное
Гибридное
Частное
Составные части любого типа облака
5
Виртуализция Железо ПО
Согласование (orchestration) Хранение Сервисы
IaaS PaaS SaaS
Сервисы Сервисы Сервисы
Арендаторы Потребители
Сеть
Облачные сервисы
Облачные вычисления
Энерго-снабжение
SaaS - наиболее популярная облачная модель
IaaS
• Хранение • Вычисления • Управление сервисами
• Сеть, безопасность…
PaaS
• Бизнес-аналитика • Интеграция • Разработка и тестирование
• Базы данных
SaaS
• Биллинг • Финансы • Продажи • CRM • Продуктивность сотрудников
• HRM • Управление контентом
• Унифицированные коммуникации
• Социальные сети • Резервные копии • Управление документами
Ключевые риски при переходе к облакам
• Сетевая доступность • Жизнеспособность (устойчивость) • Непрерывность бизнеса и восстановление после сбоев • Инциденты безопасности • Прозрачность облачного провайдера • Потеря физического контроля • Новые риски и уязвимости • Соответствие требованиям
ЧТО ТАКОЕ БЕЗОПАСНОСТЬ?
Что такое информационная безопасность?
• Сохранение конфиденциальности, целостности и доступности информации. Кроме того, также могут быть включены другие свойства, такие как аутентичность, подотчетность, неотказуемость и надежность – ГОСТ Р ИСО/МЭК 27002
• Цель информационной безопасности заключается в защите информации и информационных систем от несанкционированного доступа, использования, раскрытия, перебоев, изменения или уничтожения
За счет чего достигается информационная безопасность?
• Информационная безопасность включает в себя – Политика в области защиты – Организация защиты информации – Менеджмент активов – Защита человеческих ресурсов – Физическая безопасность и безопасность окружения – Управление средствами связи и операциями – Управление доступом – Приобретение, разработка и поддержание в рабочем состоянии ИС – Управление инцидентами – Менеджмент непрерывности – Соответствие требованиям
БЕЗОПАСНОСТЬ ОБЛАКА
На каком уровне вы способны обеспечивать безопасность в своей корпоративной сети уже сейчас?
• Вы можете гарантировать отсутствие закладок на аппаратном уровне?
• Вы защищаете и внутреннюю сеть или только периметр?
• Как у вас обстоит дело с защитой виртуализации? А SDN вы не внедряли еще?
• Вы знаете механизмы защиты своих операционных систем? А вы их используете?
• А механизмы защиты своих приложений вы знаете? А используете?
• А данные у вас классифицированы?
Разные возможности по реализации системы защиты для разных сервисных моделей
• В зависимости от архитектуры облака часть функций защиты может решать сам потребитель самостоятельно
IaaS�
Провайдер
Заказчик
VMs/Containers
ОС/Приложения
Данные
PaaS �
Приложения
Провайдер
Заказчик Данные
SaaS�
Провайдер
Типы облачных моделей и средства защиты
IaaS
• Заказчик облачных услуг может использовать любые средства защиты, устанавливаемые на предоставляемую аппаратную платформу
PaaS
• Заказчик облачных услуг привязан к предоставляемой платформе
• Выбор СЗИ (особенно сертифицированных) ограничен и, как правило, лежит на облачном провайдере
• Заказчик может настраивать функции защиты приложений
• Компромисс между средствами защиты и облачными услугами
SaaS
• Заказчик облачных услуг не имеет возможности по выбору средств и механизмов защиты облака
• Выбор лежит на облачном провайдере
Особенности защиты IaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 50 / 50 Организация защиты информации 50 / 50 Менеджмент активов 50 / 50 Защита человеческих ресурсов 30 / 70 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 35 / 65 Управление доступом 60 / 40 Приобретение, разработка и поддержание в рабочем состоянии ИС
60 / 40
Управление инцидентами 60 / 40 Менеджмент непрерывности 30 / 70 Соответствие требованиям 70 / 30
Защита IaaS: обратите внимание
• Ограничения на установку определенных средств защиты в инфраструктуру облачного провайдера
• Возможность установки собственных средств шифрования • Экспорт из России средств шифрования
– На все площадки облачного провайдера в разных странах мира • Обслуживание (замена) вышедших из строя средств защиты, особенно средств шифрования
• Защита данных при доступе с мобильных устройств – Особенно в контексте шифрования трафика
Особенности защиты PaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 30 / 70 Организация защиты информации 30 / 70 Менеджмент активов 30 / 70 Защита человеческих ресурсов 20 / 80 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 20 / 80 Управление доступом 30 / 70 Приобретение, разработка и поддержание в рабочем состоянии ИС
50 / 50
Управление инцидентами 45 / 55 Менеджмент непрерывности 20 / 80 Соответствие требованиям 55 / 45
Защита PaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? – Возможно ли привести их к общему знаменателю?
Особенности защиты SaaS
Защитная мера Нюансы реализации (з / о)
Политика в области защиты 10 / 90 Организация защиты информации 5 / 95 Менеджмент активов 5 / 95 Защита человеческих ресурсов 5 / 95 Физическая безопасность и безопасность окружения 0 / 100 Управление средствами связи и операциями 0 / 100 Управление доступом 5 / 95 Приобретение, разработка и поддержание в рабочем состоянии ИС
0 / 100
Управление инцидентами 5 / 95 Менеджмент непрерывности 0 / 100 Соответствие требованиям 5 / 95
Защита SaaS: обратите внимание
• Насколько модель угроз и стандарты защиты облачного провайдера соответствуют вашим? – Возможно ли привести их к общему знаменателю?
• Как вообще вы можете повлиять на реализацию и эксплуатацию системы ИБ у облачного провайдера?
Типы облаков с точки зрения ИБ и compliance
Частное
• Управляется организацией или третьим лицом
• Обеспечение безопасности легко реализуемо
• Вопросы законодательного регулирования легко решаемы
Публичное (локальное)
• Управляется одним юридическим лицом
• Обеспечение безопасности реализуемо средними усилиями
• Вопросы законодательного регулирования решаемы средними усилиями
Публичное (глобальное)
• Управляется множеством юридических лиц
• Требования по безопасности различаются в разных странах
• Законодательные требования различаются в разных странах
ОБЛАКА = ПОТЕРЯ КОНТРОЛЯ
Возможности по контролю изменчивы
23
Публичное
Гибридное
Сообщество
Частное
Аутсорсинг
Инсорсинг
Внешнее
Внутреннее
Возможности по контролю меняются в зависимости от вида
эксплуатации, расположения и типа
облака
В публичном облаке меньше контроля
Частное облако Публичное облако Соответствие Предприятие Облачный провайдер Governance Предприятие Облачный провайдер Безопасность Предприятие Облачный провайдер Эксплуатация Предприятие Облачный провайдер Риски Предприятие Распределены между
предприятием и облачным провайдером
Владелец облака Предприятие или арендодатель
Облачный провайдер
Использование ограничено
Предприятием Ничем
24
НЕ ЗАБУДЬТЕ И ПРО ДРУГИЕ ВОПРОСЫ
Обратите внимание и на другие вопросы
• Трансграничная передача персональных данных – Потребует от заказчика облачных услуг получить письменное согласие субъекта персональных данных
– Реализация легального шифрования на площадках в разных странах мира
– Реализация легального шифрования на мобильных платформах • Обработка государственных информационных ресурсов
– Облачный провайдер не может передавать ГИР за пределы России согласно 351-му Указу Президента
– Облачный провайдер должен соответствовать требованиям 17-го приказа ФСТЭК от 2013-го года
– Облачный провайдер должен использовать только сертифицированные средства защиты и(или) аттестовать свои ИС
Обратите внимание и на другие вопросы
• Облачный провайдер обязан предоставить доступ спецслужбам, правоохранительным и судебным органам по мотивированному (или немотивированному) запросу – А иногда облачный провайдер и не будет знать, что такой доступ имеется
– А вас он не обязан ставить в известность о таком доступе • Контроль облачного провайдера
– Вам придется переориентироваться с собственной защиты на контроль чужой защиты
– На каком языке вы будете общаться с зарубежным облачным провайдером?
• Предоставление услуг по защите информации – это лицензируемый вид деятельности – У облачного провайдера есть лицензии ФСТЭК и ФСБ?
Изменение парадигмы ИБ регуляторов при переходе в публичное облако
Один объект = один субъект
Один объект = множество субъектов
• Защищать надо не только отдельных субъектов, но и взаимодействие между ними
• С учетом отсутствия контролируемой зоны и динамической модели предоставления сервиса
ТАК ЧТО ЖЕ ВСЕ-ТАКИ ДЕЛАТЬ?
Если вы все-таки решились
• Стратегия безопасности облачных вычислений – Пересмотрите свой взгляд на понятие «периметра ИБ» – Оцените риски – стратегические, операционные, юридические – Сформируйте модель угроз – Сформулируйте требования по безопасности – Пересмотрите собственные процессы обеспечения ИБ – Проведите обучение пользователей – Продумайте процедуры контроля облачного провайдера – Юридическая проработка взаимодействия с облачным провайдером
• Стратегия выбора аутсорсера – Чеклист оценки ИБ облачного провайдера – Посмотрите мою презентацию с прошлого ИноБЕРЕГа
Cisco Cloud Risk Assessment Framework
31
R1: Data Risk and
Accountability R2: User Identity R3: Regulatory
Compliance
R4: Business Continuity & Resiliency
R5: User Privacy & Secondary Usage of Data
R6: Service & Data Integration
R7: Multi-tenancy & Physical Security
R8: Incident Analysis & Forensics
R9: Infrastructure
Security
R10: Non-production
Environment Exposure
Выбор облачного провайдера с точки зрения ИБ
• Защита данных и обеспечение privacy • Управление уязвимостями • Управление identity • Объектовая охрана и персонал • Доступность и производительность • Безопасность приложений • Управление инцидентами • Непрерывность бизнеса и восстановление после катастроф • Ведение журналов регистрации (eDiscovery) • Сompliance • Финансовые гарантии • Завершение контракта • Интеллектуальная собственность
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 33
Благодарю вас за внимание